Währ eine Nette sache wenn sie sich installen lassen würde.

folgender fehler beim install:

Fatal error: Call to undefined function db_connect() in /var/customers/webs/orsnipe/install_rekvotes.php on line 28

Dann habe ich gesehen das in der install steht:

#require_once ('include/includes/config.php');

require_once ('inc/config.php');

Ich habe auch da schon das inc durch das include/includes getauscht

Zitat geschrieben von DioXin



ich kann das nicht mal installieren komme dann immer auf die seite von Ohost..

Zitat geschrieben von 0rsn1p3*dlx*



Danke.. hatte damals in nem anderen Ordner
Hab den Pfad wieder auf

require_once ('include/includes/config.php');

gesetzt =)

So, hatte mir das Modul schon Montag-Nacht angeguckt, hatte aber keine Lust mehr eine Antwort zu schreiben. Habe ganz vergessen, dass ich das unbedingt noch machen wollte.

Vorweg: In dem Zustand kann ich vor der Installation des Scripts nur abraten. Ich habe einige Fehler und Sicherheitslücken entdeckt. Zudem ist es an einigen Stellen eher schlecht in ilch integriert, wie man das von den hier bereitgestellten Modulen kennt.

SQL-Injections und XSS
Problematisch ist, dass alle User-Eingaben ungefiltert als SQL ausgeführt werden und in der Datenbank gespeichert werden. Theoretisch wäre eine "Übernahme" der Homepage und ähnliches möglich.
Gegen Cross-Site Scripting (XSS) ist das Script zwar auch nicht geschützt, doch die davon betroffenen Daten werden nicht direkt ausgegeben. Das reicht aber nicht.
==> escape-Funktion von ilch nutzen. Da muss jede User-Eingabe einmal durch, damit keine bösen Überraschungen kommen

Fehler
- Strings müssen immer in Anführungszeichen (" bzw. '). Das gilt auch bei if-Bedingungen. "if($do==voting)" beispielsweise geht nicht. Da wird immer true kommen, da php das voting für eine Konstante hält. "if($do=="voting")" müsste es richtig sein.

- Bei der Installation hast du einen Denkfehler. Du versuchst auf Funktionen von ilch zuzugreifen, die nicht geladen sind. "db_connect" befindet sich in include/includes/func/db/mysql.php. Die Datei müsstest du einbinden, damit die Installation einwandfrei funktioniert (kann nicht mit Sicherheit sagen, ob das die einzige Datei ist).
Noch einfacher ist es, wenn du das fertige Installation-Script nimmst, dass es hier im Downloadbereich gibt.

- Dein Voting lässt sich sehr einfach manipulieren. Du übermittelst per GET die User-ID des aktuell eingeloggten Users. Diese User-ID kann jedoch beliebig geändert werden, sodass ich jetzt für tausend andere User abstimmen kann, die es noch nicht mal geben muss.
==> Du kannst das umgehen, indem du die GET-Variable einfach komplett weg lässt und wie am Anfang auch "$_SESSION['authid']" verwendest.

Integration in ilch
Hier gibt es einige Sachen, die du besser machen könntest. Ich zähle die einfach auf. In der Entwicklerdokumentation findest du weitere Infos dazu.

- Datenbank-Funktionen von ilch nutzen. Die Vorteile sind, dass das präfix automatisch gesetzt wird und theoretisch das nutzen von anderen Datenbanken möglich wäre

- Templates nutzen. Du hast zwar ein Template, doch da steht nicht wirklich was drin.

- Mit der Menu-Klasse könntest du ganz auf GET verzichten. Das sieht schöner aus.

Sry 4 Doppelpost...
Aber -> Wie versprochen: Die überarbeitete Version

www.ilch.de/forum-showposts-45667-p1.html#324221

Wenn die admins/mods die posts dazwischen löschen könnten, wäre ich sehr dankbar =) DANKE


Zuletzt modifiziert von painrXn am 07.08.2011 - 18:19:13

painrXn vielleicht solltest du das Modul, mal hier hochladen.
www.ilch.de/downloads.html
Damit es ausfürlich getestet werden kann und alle fehler ausgemerzt werden.

Hi,

achso. Steht aber so in deiner Beschreibung. Habe den Text nur kopiert :-)

Zitat geschrieben von painrXn

So habe es mir gedownloadet!!
Finde es soweit super..
Aber was ich von nachteil finde, ist wenn ich drei Trialer habe und den Vote mache zeigt er mir alle drei an.
Obwohl nur einer davon die Trialzeit vorbei hat.
Schön wäre es wenn mann im Adminbereich denn Trialer anklicken könnte, der zum Vote freigegeben wird??
Sonst müßte ich die anderen Trialer, ja jedesmal in eine andere Gruppe verschieben.

Man könnte das Script noch Erweitern. Nämlich so dass man nicht nur über Trailmember abstimmen kann, sondern Allgemein z.B wenn man einen Member zum Siten Admin befördern will, erst darüber entscheiden lässt was die Member meinen.

In meinen Augen fehlt noch die Abstimmung ob jemand zum Trial zugelassen werden soll. Solange das nicht enthalten ist und man dafür auf die normale Umfrage zurückgreifen muß, lohnt es sich nicht diese Umfrage zu installieren, auch wenn die Idee mir gefällt.

@DE-Battlefield

Es fehlen Datenbanktabellen. Ich gehe mal davon aus, Du hast deineurl.de/index.php?trialvotes_install nicht aufgerufen.